BEC 智能合约无限转币漏洞分析及预警

专栏 作者:慢雾科技 2018-04-26 16:18:59 阅读:27
据 OKEx 公告称,4 月 22 日 13 时左右,BEC 出现异常交易。

OKEx 公告 慢雾安全团队第一时间分析发现,BEC 智能合约(https://etherscan.io/address/0xc5d105e63711398af9bbff092d4b6769c82f793d)中的 batchTransfer 批量转账函数存在漏洞,攻击者可传入很大的 value 数值,使 cnt * value 后超过 unit256 的最大值使其溢出导致 amount 变为 0。 batchTransfer 函数 这样攻击者的账户不会转出任何 BEC,但是接收方却可以收到大量 BEC。 交易详情 接收方1 接收方2 通过此次漏洞分析,慢雾安全团队建议智能合约开发者在批量转账时严格校验转出总额 amount 是否大于 0,以及在 for 循环内执行 balances[msg.sender].sub(value) 操作。 这类漏洞属于不可逆的破坏型漏洞,建议其他智能合约发布方及时自查。
关于慢雾科技 厦门慢雾科技有限公司,专注区块链生态安全,总部位于厦门,由一支拥有十多年一线网络安全攻防实践的团队创建。团队曾为 Google、微软、W3C、公安部、腾讯、阿里、百度等输出过安全能力,团队多项成果也曾进入过 Black Hat 等全球黑客大会。慢雾科技的核心能力包括:安全审计、防御部署、地下黑客风向标追踪。慢雾科技已经为全球多家交易所、钱包、智能合约等做了安全审计与防御部署,并通过独有的地下黑客风向标追踪引擎,持续为合作公司及国家相关部门提供威胁情报。

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:http://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

图库
关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接